Radius-Accounting

[whiskey]

Hallo ihr Lancom-Profis hier im Forum,

habe ein Problem mit dem (für Lancom 6.0 versprochenen) Feature Radius-Accounting.
Ich habe das in der Experten-Konfiguration, Punkt WLAN, aktiviert. Die Felder dort sehen ja ziemlich self-explaining aus.

Trotz einem Reboot schickt der Lancom kein einziges Accounting Paket ab.

Ausserdem weiss ich nicht was unter "Client-Brg.-Behandlung" zu verstehen ist. Dort gibts die Auswahlpunkte "Aller-Traffic", "Bridge-Traffic", "Client-Traffic" und "Separates-Accounting". Sehr seltsam.

Natürlich steht in der Dokumentation nix. Auch hier im Forum habe ich noch nix gefunden.

Vielleicht kann mir ja einer der Entwickler weiterhelfen

danke schon mal!

[REPTILE]

Client-Brg.-Behandlung beschreibt das verhalten wenn ein Client im Bridge modus angemeldet ist... also ob er den kompletten traffic des gebridge'n netzwerkes als eins behandelt oder einzeln....

[alf29]

Moin,

...und nicht vergessen, in den Netzwerk-Einstellungen
für die jeweilige SSID das Accounting einzuschalten...

Gruß Alfred

[schibulski]

Hallo Zusammen,

ich versuche gerade das Accounting mit den Lancom L-54g APs auf einem Freeradius 1.0.4 Server einzurichten. Das Accounting ist fuer die SSID freigeschaltet und mein Radius Server erhaelt auch rad_acct Pakete. Doch leider scheint etwas mit dem Shared Secret nicht zu stimmen, den im radius.log erscheint folgende Fehlermeldung

Code: Alles auswählen

Fri Feb 17 11:51:46 2006 : Error: Received Accounting-Request packet from 10.87.82.88 with invalid signature!  (Shared secret is incorrect.)

Aus meiner Erfahrung mit Radius weiss ich, das einige Clients Probleme mit laengeren Shared Secrets haben, darum habe ich das urspruenglich 16 Zeichen lange Secret auf 8 Zeichen gekuerzt, mit gleicher Fehlermeldung als Resultat. Letzlich habe ich auf das Shared Secret ganz verzichtet, diesmal kam keine Fehlermeldung, allerdings kamen auch kein rad_acct Paket mehr zum Radius Server.

Die eigentliche Authentifizierung laeuft immer erfolgreich ab. Meines Wissens nach ist das Shared Secret fuer Auth und Acct gleich. Das es in der Lancom Konfiguration noch einmal explizit eingegeben werden muss, ist der Tatsache geschuldet, dass der Auth nicht mit dem Acct Server uebereinstimmen muss. Der Radius Server scheint auch richtig konfiguriert zu sein, da ein Cisco Test AP brav Accounting Records schreibt.

Was koennte denn da schief laufen?

Gruesse, Jupp

[_Flo_]

Hallo LANCOM Entwickler,

beim Radius Accounting gibt es leider noch folgendes Problem:
Falls der AP per [Experten-Konfiguration]->Sonstiges->Kaltstart neu gestartet wird gehen alle offenen Accountings der eingebuchten Clients verloren.

Ist das so beabsichtigt?

Ansonsten: Gratulation! Mit der nun komplett implementierten AAA Lösung direkt in den APs seid ihr der Konkurenz (gibt's da überhaupt noch welche? ) um "Lichtjahre" vorraus

Ciao,
Florian

[alf29]

Moin,

beim Radius Accounting gibt es leider noch folgendes Problem:
Falls der AP per [Experten-Konfiguration]->Sonstiges->Kaltstart neu gestartet wird gehen alle offenen Accountings der eingebuchten Clients verloren.

Ist das so beabsichtigt?

Das ließe sich für diesen Fall vielleicht lösen, ist aber
allgemein nicht zu verhindern, daß beim
RADIUS-Accounting der NAS (also der AP in diesem
Fall) einfach 'wegbricht' und der RADIUS-Server bzw.
die Auswerte-Software dahinter mit den offenen Sessions
klarkommen muß. Damit möglichst wenig
Infos verloren gehen, gibt es ja die Interim-Updates.

Gruß Alfred

[holgi03]

Hallo Zusammen,

ich versuche gerade das Accounting mit den Lancom L-54g APs auf einem Freeradius 1.0.4 Server einzurichten. Das Accounting ist fuer die SSID freigeschaltet und mein Radius Server erhaelt auch rad_acct Pakete. Doch leider scheint etwas mit dem Shared Secret nicht zu stimmen, den im radius.log erscheint folgende Fehlermeldung

Code: Alles auswählen

Fri Feb 17 11:51:46 2006 : Error: Received Accounting-Request packet from 10.87.82.88 with invalid signature!  (Shared secret is incorrect.)

Aus meiner Erfahrung mit Radius weiss ich, das einige Clients Probleme mit laengeren Shared Secrets haben, darum habe ich das urspruenglich 16 Zeichen lange Secret auf 8 Zeichen gekuerzt, mit gleicher Fehlermeldung als Resultat. Letzlich habe ich auf das Shared Secret ganz verzichtet, diesmal kam keine Fehlermeldung, allerdings kamen auch kein rad_acct Paket mehr zum Radius Server.

Die eigentliche Authentifizierung laeuft immer erfolgreich ab. Meines Wissens nach ist das Shared Secret fuer Auth und Acct gleich. Das es in der Lancom Konfiguration noch einmal explizit eingegeben werden muss, ist der Tatsache geschuldet, dass der Auth nicht mit dem Acct Server uebereinstimmen muss. Der Radius Server scheint auch richtig konfiguriert zu sein, da ein Cisco Test AP brav Accounting Records schreibt.

Was koennte denn da schief laufen?

Gruesse, Jupp

Habe das Problem auch anbei ein TCP-Dump.

19:22:44.955068 IP 62.225.68.237.3072 > 62.225.68.249.radius-acct: RADIUS, Accounting Request (4), id: 0xe0 length: 141
0x0000: 4500 00a9 d082 0000 3b11 a719 3ee1 44ed E.......;...>.D.
0x0010: 3ee1 44f9 0c00 0715 0095 f9d1 04e0 008d >.D.............
0x0020: 1d28 93fd 5f39 d1b9 ab3a fc70 d4ea 39a4 .(.._9...:.p..9.
0x0030: 2806 0000 0001 0110 3030 3064 3062 2d61 (.......000d0b-a
0x0040: 6631 6262 6200 1f14 3030 2d30 642d 3062 f1bbb...00-0d-0b
0x0050: 2d61 -a
19:22:45.055047 IP 62.225.68.237.3072 > 62.225.68.249.radius-acct: RADIUS, Accounting Request (4), id: 0xe4 length: 159
0x0000: 4500 00bb d083 0000 3b11 a706 3ee1 44ed E.......;...>.D.
0x0010: 3ee1 44f9 0c00 0715 00a7 311e 04e4 009f >.D.......1.....
0x0020: 2a19 5e70 3c41 b19e 12ae 237f eb2c 416a *.^p<A....#..,Aj
0x0030: 2806 0000 0003 0110 3030 3064 3062 2d61 (.......000d0b-a
0x0040: 6631 6262 6200 1f14 3030 2d30 642d 3062 f1bbb...00-0d-0b
0x0050: 2d61 -a
19:22:50.055554 IP 62.225.68.237.3072 > 62.225.68.249.radius-acct: RADIUS, Accounting Request (4), id: 0xe4 length: 159
0x0000: 4500 00bb d085 0000 3b11 a704 3ee1 44ed E.......;...>.D.
0x0010: 3ee1 44f9 0c00 0715 00a7 311e 04e4 009f >.D.......1.....
0x0020: 2a19 5e70 3c41 b19e 12ae 237f eb2c 416a *.^p<A....#..,Aj
0x0030: 2806 0000 0003 0110 3030 3064 3062 2d61 (.......000d0b-a
0x0040: 6631 6262 6200 1f14 3030 2d30 642d 3062 f1bbb...00-0d-0b
0x0050: 2d61 -a

19:22:37.824333 IP 62.225.68.237.3072 > 62.225.68.249.radius-acct: RADIUS, Accounting Request (4), id: 0x08 length: 141
0x0000: 4500 00a9 d079 0000 3b11 a722 3ee1 44ed E....y..;..">.D.
0x0010: 3ee1 44f9 0c00 0715 0095 2c86 0408 008d >.D.......,.....
0x0020: f540 9c36 9e0d 676e 937a b515 7a7c 0869 .@.6..gn.z..z|.i
0x0030: 2806 0000 0001 0110 3030 3064 3062 2d61 (.......000d0b-a
0x0040: 6631 6262 6200 1f14 3030 2d30 642d 3062 f1bbb...00-0d-0b
0x0050: 2d61 -a
19:22:39.014448 IP 62.225.68.237.3072 > 62.225.68.249.radius-acct: RADIUS, Accounting Request (4), id: 0x57 length: 159
0x0000: 4500 00bb d07a 0000 3b11 a70f 3ee1 44ed E....z..;...>.D.
0x0010: 3ee1 44f9 0c00 0715 00a7 db8b 0457 009f >.D..........W..
0x0020: cd03 3ab2 e4c3 86f7 9d27 2a9d 6f1e 8409 ..:......'*.o...
0x0030: 2806 0000 0003 0110 3030 3064 3062 2d61 (.......000d0b-a
0x0040: 6631 6262 6200 1f14 3030 2d30 642d 3062 f1bbb...00-0d-0b
0x0050: 2d61 -a
19:22:39.944615 IP 62.225.68.237.3072 > 62.225.68.249.radius-acct: RADIUS, Accounting Request (4), id: 0xc0 length: 165
0x0000: 4500 00c1 d07b 0000 3b11 a708 3ee1 44ed E....{..;...>.D.
0x0010: 3ee1 44f9 0c00 0715 00ad 7886 04c0 00a5 >.D.......x.....
0x0020: a2a3 91ff c737 e40c f133 06f3 150e 1837 .....7...3.....7
0x0030: 2806 0000 0002 0110 3030 3064 3062 2d61 (.......000d0b-a
0x0040: 6631 6262 6200 1f14 3030 2d30 642d 3062 f1bbb...00-0d-0b
0x0050: 2d61 -a
19:22:39.954540 IP 62.225.68.237.3072 > 62.225.68.249.radius-acct: RADIUS, Accounting Request (4), id: 0xe0 length: 141
0x0000: 4500 00a9 d07c 0000 3b11 a71f 3ee1 44ed E....|..;...>.D.
0x0010: 3ee1 44f9 0c00 0715 0095 f9d1 04e0 008d >.D.............
0x0020: 1d28 93fd 5f39 d1b9 ab3a fc70 d4ea 39a4 .(.._9...:.p..9.
0x0030: 2806 0000 0001 0110 3030 3064 3062 2d61 (.......000d0b-a


Gruß
Holger

[alf29]

Moin,

wir haben das Accounting hier sowohl mit FREERadius als auch dem
alten Cistron-Server probiert, das läuft ohne Probleme - und das
RADIUS-Accounting-Modul wird schon ewig im Public-Spot-Umfeld
benutzt. Wenn's nicht klappt, kommen als Fehlerquellen eigentlich
nur ein falsches Secret oder ein gar nicht beim Server registrierter
AP in Frage...

Gruß Alfred

[holgi03]

Moin,

wir haben das Accounting hier sowohl mit FREERadius als auch dem
alten Cistron-Server probiert, das läuft ohne Probleme - und das
RADIUS-Accounting-Modul wird schon ewig im Public-Spot-Umfeld
benutzt. Wenn's nicht klappt, kommen als Fehlerquellen eigentlich
nur ein falsches Secret oder ein gar nicht beim Server registrierter
AP in Frage...

Gruß Alfred

Hallo Alfred,

das Accounting vom Public-Spot Modul geht bei mir auch vom selben AP.

kannst du mir mal eure Freeradius Config schicken ?

Gruß Holger

[holgi03]

Hallo,
anbei noch mal ein Auszug aus dem Radius Protokoll:

rad_recv: Accounting-Request packet from host 62.225.68.237:3072, id=162, length=168
Received Accounting-Request packet from 62.225.68.237 with invalid signature! (Shared secret is incorrect.)
rad_recv: Accounting-Request packet from host 62.225.68.237:3072, id=162, length=168
rad_recv: Accounting-Request packet from host 62.225.68.237:3072, id=162, length=168
Received Accounting-Request packet from 62.225.68.237 with invalid signature! (Shared secret is incorrect.)
rad_recv: Accounting-Request packet from host 62.225.68.237:3072, id=162, length=168
rad_recv: Accounting-Request packet from host 62.225.68.237:3072, id=162, length=168
Received Accounting-Request packet from 62.225.68.237 with invalid signature! (Shared secret is incorrect.)
rad_recv: Accounting-Request packet from host 62.225.68.237:3072, id=162, length=168

Habe zum testen einen ap mit zwei WLAN-Interfaces eingerichet.
eins mit RADIUS-Accounting und eins mit Public_spot_otion mit gleichem Schlüssel.
Wie man sieht geht das Accounting an WLAN-Interface mit der Public_spot_otion ohne Probleme an dem zweiten Interface wo das RADIUS-Accounting aktiv und keine Public-Spot Option kommt (Shared secret is incorrect.) im Freerdius.

Gruß Holger

[alf29]

Moin,

ich glaube, ich weiß, was da los ist...

Trage mal beim RADIUS-Server für die MAC-Adress-Listen (also unter
Setup/WLAN/RADIUS-Access-Check) ein Secret ein, das *genauso lang*
ist die das Secret, das Du fürs WLAN-Accounting benutzt (der Inhalt sollte
egal sein). Sieht so aus, als ob mir da beim copy'n'waste der Menüs etwas
durchgerutscht ist...

Gruß Alfred

[schibulski]

Hallo Alf und Holgi,

Moin,
Trage mal beim RADIUS-Server für die MAC-Adress-Listen (also unter
Setup/WLAN/RADIUS-Access-Check) ein Secret ein, das *genauso lang*
ist die das Secret, das Du fürs WLAN-Accounting benutzt (der Inhalt sollte
egal sein). Sieht so aus, als ob mir da beim copy'n'waste der Menüs etwas
durchgerutscht ist...
Gruß Alfred

OK. Ich habe gemacht was Du empfohlen hast und siehe da, es funktioniert! Im radacct Verzeichnis sind Details Files vom Lancom AP.

Vielen Dank fuer die Hilfe + Gruesse, Jupp

[schibulski]

Hallo Zusammen,

ich hatte jetzt Zeit das Radius-Accounting ein wenig zu testen und dabei haben sich einige Fragen fuer mich gestellt.

Der L54-g weigert sich ein Stop-Accounting Record zu generieren. Start und Interim-Update funktionieren. Wechsel ich auf ein Wireless-Netzwerk eines anderen Herstellers oder deaktiviere die Wireless Karte kommt einfach kein Stop Account Record des Lancoms. (Im Syslog habe ich allerdings als Aequivalent den schoenen Eintrag "sending station is leaving (has left) the IBSS or ESS") Irgendwelche Ideen woran das liegen koennte?

In dem Konfigurationszweig fuer Radius-Accounting gibt es den Punkt "Ausgeschlossenes-VLAN". Dies interpretiere ich als eine Moeglichkeit ein definiertes VLAN fuer das Accounting zu sperren. Doch leider kann ich in dem Feld nur Zahlen zwischen 0-255 eintragen, so das eine VLAN-ID darin leider keinen Platz hat. (Zumindestens nicht die von 256 bis 4094 ;-)) Was kommt denn in dieses Feld rein?

Was ist die Client-Brg.-Behandlung? Betrifft es einen AP der im Bridge Modus ist? (Sprich, der herkoemmliche Access-Point Modus: Clients koennen sich am AP anmelden und der AP brigdet) Oder gilt die Einstellung nur fuer ein L-54g welches selber im Client-Modus ist?

Fragend, Jupp

[alf29]

Moin,

Irgendwelche Ideen woran das liegen koennte?

Weil ich an meinem eigenen Code vorbeigearbeitet habe -
generell sollte das Stop kommen, wenn die Station vom
Zustand 'Associated' in irgendeinen anderen Zustand
wechselt, aber da passte etwas nicht, wenn die Station
sich selber 'ordentlich' per Disassociate oder Deauthenticate
vom AP abmeldete.

Doch leider kann ich in dem Feld nur Zahlen zwischen 0-255 eintragen, so das eine VLAN-ID darin leider keinen Platz hat. (Zumindestens nicht die von 256 bis 4094 ) Was kommt denn in dieses Feld rein?

Schon eine VLAN-Id bzw Null für 'kein VLAN', nur war
jemand bei der Anlage der Variable etwas zu sparsam
Dieses Feld gibt an, ob Pakete, die einem bestimmten VLAN
angehören, nicht ins Accounting eingehen sollen.

Was ist die Client-Brg.-Behandlung? Betrifft es einen AP der im Bridge Modus ist? (Sprich, der herkoemmliche Access-Point Modus: Clients koennen sich am AP anmelden und der AP brigdet) Oder gilt die Einstellung nur fuer ein L-54g welches selber im Client-Modus ist?

Das bezieht sich darauf, wie Accounting-mäßig mit
LANCOMs verfahren werden soll, die sich als Clients
angemeldet haben und den Client-Bridge-Modus benutzen.
Das machen z.B. ISPs, die so ein Client-LANCOM beim
Kunden als 'CPE' stehen haben. Der Traffic, der durch
Management-Zugriffe auf das Client-LANCOM geht, soll
in solchen Installationen üblicherweise getrennt oder
gar nicht gezählt werden - das ist ja kein Traffic, den der
Kunde verursacht hat.

Ich melde mich morgen, wenn wir eine neue Firmware
haben.

Gruß & Dank

Alfred

[schibulski]

Hallo Alfred,

Das bezieht sich darauf, wie Accounting-mäßig mit
LANCOMs verfahren werden soll, die sich als Clients
angemeldet haben und den Client-Bridge-Modus benutzen.
Das machen z.B. ISPs, die so ein Client-LANCOM beim
Kunden als 'CPE' stehen haben. Der Traffic, der durch
Management-Zugriffe auf das Client-LANCOM geht, soll
in solchen Installationen üblicherweise getrennt oder
gar nicht gezählt werden - das ist ja kein Traffic, den der
Kunde verursacht hat.

Alles klar, jetzt habe auch ich das verstanden.

Ich melde mich morgen, wenn wir eine neue Firmware
haben.

Super klasse, recht herzlichen Dank!

Beste Gruesse, Jupp